躺著也中槍!

「零時差攻擊」(Zero day)是近年來資安人員的夢魘,因為頻率愈來愈高而且強度一次比一次強,現在幾乎每個月都會有幾次的零時差攻擊警示,不過慶幸的是到目前為止還沒有發生真的造成重大傷害的案例。

但是就在對岸「狗牛人生」八點檔持續熱門近月之後(看不懂少一撇的請看兩撇的),在2010年11月3日晚上8:20分「狗牛人生」達到最高潮,於是QQ電視台在第一時間用插播卡中斷了節目...

零時差攻擊?還好只是通知!

啥米?家裡養牛就不能再看「狗牛人生」八點檔?
抱歉拿錯卡片了,應該是這一張:

零時差攻擊?還好只是通知!

QQ用彈出視窗(簡稱彈窗)通知的在線上的上億使用者:如果他們的電腦裡面有安裝360的軟體的話,就不能使用QQ。

(謎之音:不是說沒有掃使用者的硬碟嗎?那怎麼會知道人家有裝什麼軟體?)

最可憐的是那號稱有5.6億的QQ使用者被迫要表態,看你是要挺360失去所有的朋友?還是和QQ站在廣大群眾的這一邊?

似曾相識

其實在全世界的電腦同時出現相同的警告訊息這也不是第一次了,很多人應該都熟悉這一則訊息吧?

零時差攻擊?還好只是通知!

所以電腦系統或是程式的開發廠商利用所謂的「自動更新」,在不經由你的同意之下(事實上他們早在軟體的援權同意書就已經得到你的同意了),私底下幫你「安裝」程式是很正常的,甚至像這兩個例子一樣還會彈出視窗告訴你他們的程式現在作了什麼事!

你是否成了人質?

本來兩家公司競爭這是很平常的事,但是頭一次見到了有人藉由挾持使用者(消費者)來威脅對手陣營,這種手法我相信在我們這裡只會造成自己的客戶大量流失,但是在那個無法用常理來衡量的國度裡,好像還滿有效的!

什麼!聽不懂!那換個比喻:家樂X如果宣佈有大潤X會員卡的人不可以到他們的店裡消費,你會怎麼辦?

或許有人天生就喜歡被人綁架?還是有人被賣了還幫人家數錢?說起來真是可悲!

而有這種群眾基礎的公司或網站還為數不少,我所擔心的事情就是:

這會不會成為零時差攻擊?

原理其實是差不多:有人掌握了數目眾多的電腦,在同一時間指揮這些電腦作同一件事,也就是說每一個人的電腦在某種程度上都已經是「殭屍電腦」其中的一份子,除非你的電腦完全不上網。

而這個「作某一件事」在正常的狀況下就是系統更新、通知之類的事,但是你怎麼可以確定遠端不會叫你去作壞事?

請你想想目前有哪些網站或程式可以發動這種規模的攻擊呢?QQ? MSN? SKype? Facebook? BT? 迅雷? 還是大家都有在用的 PPS?

我不會評論這件事的誰對誰錯,就算是有理的一方也不見得會贏,但是世上真的被這些爛人搞得沒有天理了嗎?難怪最近天災頻傳,因為台灣有一句俚語:人若無照天理、天就無照甲子。